메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
신홍
스카라베
아이케
콜라~
5
기즈모SOFT
6
늑대소냐
7
TECHSTAR
8
날제비
9
장군님
10
아트리나
11
이제
12
미미
13
이규하
14
청주산의
15
김형주
16
좋은이웃대표
17
스데반
18
아이런
19
Black
20
kgvk486
21
봉쌤
22
bluewolf
23
미래시대
24
삼베
25
카스랑
26
상옥이
27
네모
28
hinoon
29
진호네
30
BuriBuri
XSS 보안 html 필터링 유틸(HTML Purifier) 적용
 technote notice
테크노트 공지사항
ㆍ작성일: 2015/02/16 (월)
XSS 보안 html 필터링 유틸(HTML Purifier) 적용
 
XSS는 게시판, 웹메일 등에 악의적인 스크립트코드를 삽입하여 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정
사이트로 전송시키는 등 클라이언트 영역에서 이뤄지는 일종의 페이지 변조 해킹방식을 뜻하는 말입니다.
이 문제를 해결하려면 글등록시 본문내용에 입력된 html 요소를 철저히 검사해서 위험요소를 제거한 후에 저장되게 해야 합니다.
테크노트 게시판 설정항목엔 등록불가 단어 설정항목이 있으나 일일이 지정하기도 쉽지않고 기능적으로도 역부족이므로
별도의 파일작업이 불가피합니다.  아래 설명대로 설치해 주면 되겠습니다.
 
* 다운로드:  util_htmlpurifier.php(5.6KB)
 
 
------------------------------------------
  HTML Purifier - 테크노트적용 유틸
------------------------------------------
  * 기능 : XSS 보안 html 필터링
  * 적용영역 : 게시판 글등록 , 회원간 쪽지전송
  * 적용방법 :  아래 순서대로 설치
      1, http://htmlpurifier.org/download 에서 'htmlpurifier-4.6.0.zip' 파일을 다운 받아 pc에서 압축해제하여
      2, 폴더명을 'htmlpurifier' 으로 하여 테크노트 설치경로에 FTP로 올림 ( ~/technote7/htmlpurifier/ )
      3, 본 파일(util_htmlpurifier.php)을 테크노트 설치경로에 FTP로 올림 ( ~/technote7/util_htmlpurifier.php )
      4, 기 설치된  ~/technote7/include/board/config.php  파일을 FTP로 내려 받아 편집기로 열고 맨끝 부분에 아래 코드를 삽입.
               // XSS 보안 필터링 - 게시판글
               if($command == 'save' and $tbody and $bodytype != 1 and $Bconfig['ck6_5'] == 1){
                  include './util_htmlpurifier.php';
                  $tbody = tnt_htmlpurifier($tbody);
               }

      5, 기 설치된  ~/technote7/skin_member/mem_standard/msg_write.php 파일을 FTP로 내려 받아 편집기로 열고
           상단부의 설정항목들 마지막 부분에 아래의 코드를 삽입함.
               // XSS 보안 필터링 - 쪽지글
               if($tbody and $msg_send){
                  include './util_htmlpurifier.php';
                  $tbody = tnt_htmlpurifier($tbody);
               }

        6, 설치끝, 게시판 글등록 및 쪽지전송 테스트하기.
 
  * 기타 :
        * php5.0 이상일때만 오리지널 'htmlpurifier' 가 적용되고 이하 버전에선 낮은 수준의 필터링이 적용됨.
        * 게시판 글등록시 불완전한 html 코드를 입력하는 경우 글 내용이 부분적으로 삭제될 수 있음.
        * 본글에 첨부된 'util_htmlpurifier.php' 파일은 UTF-8 인코딩 파일입니다만 테크노트EUC-KR 에 그대로 사용해도 됩니다.
            만약 테크노트EUC-KR 에 사용시 문제가 생긴다면 편집기로 열어서 EUC-KR 또는 ANSI 로 재저장해서 사용하십시오.